Rafræn undirskrift og GDPR: handbók fyrir DPO

Hvaða persónuupplýsingum meðhöndlar undirskriftarlausn?

Rafræn undirskriftarvettvangur meðhöndlar nokkra flokka persónuupplýsinga.

• Auðkenni undirritara: nafn, fornafn, tölvupóstur, sími
• Efni skjala: hugsanlega viðkvæm persónuupplýsing (ráðningarsamningar, heilsufarsupplýsingar, fjárhagsupplýsingar)
• Endurskoðunarferil: IP-tala, tímastimpa, user-agent
• Hegðunargögn: handskrift undirskriftar á spjaldi (ef QES lífmælt)

Hýsing og millifærslur utan ESB

GDPR krefst þess að persónuupplýsingum sé ekki millifært utan ESB nema til landa sem bjóða fullnægjandi vernd eða með viðeigandi tryggingum (SCCs, BCRs). Fyrir undirskriftarlausnir þýðir þetta:

• Hýsing ESB → endalaus millifærsla, engar frekari formfengleikar
• Hýsing á Bandaríkjunum með SCCs → hugsanlegt en afgangs Cloud Act áhætta
• Bandarísk aðili (Cloud Act) → óbreytanleg áhætta jafnvel með hýsingu ESB

Bandaríski Cloud Act og rafræn undirskrift

Cloud Act (2018) heimilar bandarískum yfirvöldum aðgang að gögnum sem geymd eru af bandarískum fyrirtækjum, jafnvel þótt gögnin séu geymd í Evrópu. DocuSign, Adobe Sign og Dropbox Sign eru bandarísk fyrirtæki sem falla undir Cloud Act. Certyneo er franskt aðili sem fellur ekki undir þessa utanríkislogsögu.

Ábendingar fyrir DPO

1. 1Veldu þjónustuveitanda þar sem lögaðili hefur aðsetur í ESB eða Bretlandi (eftir Brexit með fullnægandi ákvörðun)
2. 2Staðfesttu að hýsingin sé eingöngu í ESB án afritunar á netþjónum utan ESB
3. 3Fendu og undirritaðu DPA sem samræmist 28. grein GDPR
4. 4Skjalfestdu áhrifamatið (AIPD) ef þú ert að meðhöndla viðkvæm gögn í skjölum þínum
5. 5Staðfesttu geymsluendingu gagna og eyðingarstefnu við lok samnings

GDPR spurningar um rafræna undirskrift

Felur rafræn undirskrift í sér meðhöndlun persónuupplýsinga?

Já. Netfang, nafn og hugsanlega símanúmer undirritara eru söfnuð. Efni skjala getur einnig innihaldið persónuupplýsingar. Undirskriftarþjónustuveitandinn er undirverkari samkvæmt GDPR, bundinn með skyldum 28. greinar.

Er DocuSign GDPR-samhæft?

DocuSign fullyrðir að vera GDPR-samhæft og býður fram SCCs. Hins vegar, sem bandarískt fyrirtæki, fellur það ennþá undir Cloud Act. CNIL minntist á að Cloud Act skapi óbreytanlega áhættu fyrir evrópsk gögn sem geymd eru af bandarískum aðilum, jafnvel í ESB.

Er Certyneo GDPR-samhæft?

Já. Certyneo er franskt aðili, hýst í ESB (IONOS Þýskaland), ekki háð Cloud Act. Gögn eru dulkóðuð í flutningi (TLS 1.3) og í hvíld. Certyneo býður fram DPA sem samræmist 28. grein GDPR.

Þarf að framkvæma AIPD fyrir notkun undirskriftarlausnar?

AIPD er ekki kerfisbundið nauðsynlegt fyrir staðlaða rafræna undirskrift. Það er skylt ef þú undirritaðir skjöl sem innihalda viðkvæm gögn (heilsu, mannauð með stéttarfélagsgögnum osfrv.) eða ef notkun þín á undirskrift felur í sér prófun eða eftirlit í stórum stíl.